Modelo para Avaliar o Nível de Maturidade do Processo de Gestão de Riscos em Segurança da Informação
Resumo
O processo de Gestão de Riscos (GR) compreende atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos, isso inclui a definição de contexto, análise, avaliação, tratamento, aceitação, comunicação e monitoramento dos riscos de segurança da informação. As organizações precisam implementar GR de forma consistente e sistemática, para buscar conformidades com leis, normas e regulamentações vigentes, bem como atender a requisitos obrigatórios para certificação de um Sistema de Gestão de Segurança da Informação. No entanto, não se identificou na literatura um modelo para avaliação do nível de maturidade desse processo no contexto de segurança da informação. Para contornar este problema neste trabalho descreve-se a estrutura de um modelo para avaliar o nível de maturidade do processo de GR em Segurança da Informação. O modelo desenvolvido consiste basicamente de um conjunto de boas práticas, totalmente alinhado a norma ISO/IEC 27005 e constituído por: (1) três estágios; (2) cinco níveis de maturidade; (3) quarenta e três objetivos de controles; (4) mapa de controles; (5) perspectiva de avaliação; (6) RACI Chart; (7) risk scorecard e, ainda, (8) instrumento de avaliação.
Referências
______ (2006) “Sistemas de Gestão de Segurança da informação - Requisitos: NBR ISO/IEC 27001:2006”, Rio de Janeiro: ABNT.
Banco Central do Brasil (BCB) (2006), “Resolução 3380/BACEN”, Brasil: BCB, 2006. Disponível em: http://www5.bcb.gov.br. Acesso em: 23 de fev. de 2008.
BSI (2006) “Código de Práticas para a Gestão da Continuidade do Negócio: BS 25999-1:2006”, Londres: BSI.
Centro da Qualidade, Segurança e Produtividade para o Brasil e América Latina (QSP) (2004) “Gestão de Riscos - A norma AS/NZS 4360”, São Paulo: Risk Tecnologia Editora.
Chrissis, M. B.; Konrad, M. e Shrum, S. (2005) “CMMI® - Guidelines for Process Integration and Product Improvement”, Estados Unidos: SEI.
International Organization for Standardization (ISO) (2008) “Information technology - Security techniques - Information security risk management: ISO/IEC 27005”, Suiça.
ISM3 Consortium (2009) “ISM3: Information Security Management Maturity Model”, disponível em: http://ism3.wordpress.com/2009/04/02/ism3-v23-published/, acesso em: 05 jan. 2010.
IT Governance Institute (ITGI) (2007) “Cobit® 4.1”, USA: ITGI.
Kaplan, R. S. e Norton, D. P. (2001) “The Strategy-Focused Organization: How Balanced Scorecard Companies Thrive in the New Business Environment”, Boston, MA: Harvard Business School Press.
Mayer, Janice (2008) “Um Modelo para Avaliar o Nível de Maturidade do Processo de Gestão de Riscos em Segurança da Informação”, Brasil: monografia apresentada à Universidade do Vale do Rio dos Sinos (UNISINOS), São Leopoldo, diponível em: http://www.fepal.com.br/TCC_JaniceMayer.rar.
Mayer, J. e Fagundes, L.L. (2009) “A Model to Assess the Maturity Level of the Risk Management Process in Information Security”, in: 4th IEEE/IFIP International Workshop on Business-driven IT Management (BDIM), NY, USA, diponível em: http://ieeexplore.ieee.org/Xplore/login.jsp?url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F5174549%2F5195925%2F05195935.pdf%3Farnumber%3D5195935&authDecision=-203.
Miyashiro, M. A. S. (2007) “Identificação e melhoria do nível de maturidade de uma organização explorando técnicas de inteligência computacional”, São José dos Campos: INPE (Instituto Nacional de Pesquisas Espaciais).
Módulo Security (2007) “10a Pesquisa Nacional de Segurança da Informação”, São Paulo, disponível em: http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf , acesso em: 23 de fev. de 2008.
Project Management Institute (PMI) (2006), “PMI Fact Sheet”, USA: PMI, 2006, disponível em: http://www.pmi.org, acesso em 10 mai. 2008.
Risk Bank (2002) “O Novo Acordo de Capital da Basiléia (Basiléia II)”, Rio de Janeiro:Risk Bank, 2002, disponível em: http://www.riskbank.com.br/, acesso em: 1o de mar. de 2008.
Santos, L. A. A. e Lemes, S. (2004) “A Lei Sarbanes-Oxley: uma tentativa de recuperar a credibilidade do mercado de capitais norte-americano”, São Paulo: Congresso EAC.
Sêmola, M. (2003) “Gestão da Segurança da Informação: uma visão executiva da segurança da informação: aplicada ao security officer”, Rio de Janeiro: Campus.
Siqueira, J. (2005) “O Modelo de Maturidade de Processos: como maximizar o retorno dos investimentos em melhoria da qualidade e produtividade”, Brasil: IBQN, 2005, disponível em: http://www.ibqn.com.br, acesso em: 28 de fev. de 2008.
Software Engineering Institute (SEI) (2008), “What is CMMI”, Pittsburgh: SEI, disponível em: http://www.sei.cmu.edu/cmmi/general/index.html, acesso em: 10 mai. 2008.
Wainer, J. (2006) “Métodos de pesquisa quantitativa e qualitativa para a Ciência da Computação”, São Paulo: Instituto de Computação – UNICAMP.